亚洲av无码精品色午夜果冻不卡_国产草草影院ccyycom_97精品伊人久久久大香线蕉_亚洲av男人电影天堂

News Center
新聞資訊

什么是滲透測試?為什么要給你您的移動應用程序執行滲透測試

編輯:admin   瀏覽次數:次    更新時間:2018-05-21 21:48

移動(dong)應(ying)用是網絡犯(fan)罪分子的最佳目(mu)標。在為Android或(huo)iOS平臺構建移動(dong)應(ying)用程序(xu)(xu)時(shi)(shi),在開發(fa)(fa)應(ying)用程序(xu)(xu)時(shi)(shi)測試漏洞至關(guan)重要(yao) - 而不僅(jin)僅(jin)是在應(ying)用程序(xu)(xu)完全開發(fa)(fa)時(shi)(shi)。

滲(shen)透測試可以(yi)作為應用程序開(kai)(kai)發(fa)過程的(de)一部分,因為漏洞可以(yi)在(zai)早(zao)期階段輕松識別(bie),從而使(shi)(shi)移(yi)動應用程序開(kai)(kai)發(fa)人員(yuan)能夠在(zai)應用程序完全(quan)開(kai)(kai)發(fa)之前做出一些(xie)關鍵更改。這(zhe)節省(sheng)了(le)開(kai)(kai)發(fa)成本,確保(bao)最(zui)終產品(pin)的(de)使(shi)(shi)用安全(quan)可靠。

什么是(shi)滲透測(ce)試(shi)?

簡而言之,滲透(tou)測(ce)(ce)試(也(ye)稱為pentest)是測(ce)(ce)試移(yi)動應(ying)(ying)用程(cheng)(cheng)序(xu)漏洞的(de)過(guo)程(cheng)(cheng)。此測(ce)(ce)試的(de)主要目(mu)的(de)是確(que)保外部人(ren)員的(de)重要數據,如黑(hei)客,他們可以在未(wei)經(jing)授(shou)權的(de)情況下訪(fang)問應(ying)(ying)用程(cheng)(cheng)序(xu),并利用應(ying)(ying)用程(cheng)(cheng)序(xu)訪(fang)問敏(min)感信息(如果其中存(cun)在任何類型(xing)的(de)漏洞)。

通常,在開發和實施階段,漏(lou)洞是偶然引(yin)入的。常見漏(lou)洞包(bao)括(kuo)配(pei)置錯(cuo)誤(wu)(wu),應(ying)用程序錯(cuo)誤(wu)(wu)和設計錯(cuo)誤(wu)(wu)。

測試(shi)人員使用(yong)不(bu)同的(de)復雜工具(ju)和IT高(gao)級知識來識別攻擊(ji)者的(de)行為(wei),攻擊(ji)者滲透客(ke)戶端的(de)應(ying)用(yong)程序以獲取(qu)信(xin)息并在(zai)未經適(shi)當授權(quan)的(de)情況下(xia)訪問更高(gao)權(quan)限(xian)。

滲透測(ce)試工(gong)具(ju)也可(ke)用于識(shi)別應用程(cheng)序中的(de)標(biao)準漏(lou)洞。這些工(gong)具(ju)將掃描代碼,通(tong)過檢查數據(ju)加(jia)密技術并找出(chu)不同的(de)硬編碼值(如用戶(hu)名(ming)和(he)密碼)來檢查系統中是(shi)否(fou)存在(zai)任何(he)惡意代碼。

滲透測試對企業很重要,因為(wei)

像銀行,投資銀行和股票交(jiao)易交(jiao)易所這樣的金融應用希望保證他們(men)的數據高度安(an)全,因此滲(shen)透(tou)測試對于確保安(an)全性非常重要(yao)。如(ru)果(guo)移動應(ying)用(yong)程序(xu)遭(zao)到(dao)黑客(ke)攻擊,組織可以確定(ding)應(ying)用(yong)程序(xu)中是否存在任(ren)何威(wei)脅,以避免(mian)未來黑客(ke)入(ru)侵。主動(dong)滲透(tou)測(ce)試是(shi)防范(fan)黑客(ke)最好(hao)的(de)保護措施。

滲(shen)透測試類型

選(xuan)擇的滲(shen)透(tou)測試(shi)類(lei)型(xing)取(qu)決于公司和組織(zhi)的用途和范圍(wei) - 他(ta)們(men)是否(fou)想要模擬員(yuan)工,網絡管理員(yuan)或外部(bu)來源的攻(gong)擊(ji)。通常,有三種不同類(lei)型(xing)的滲(shen)透(tou)測試(shi):

黑盒測試白(bai)盒滲透測試灰盒(he)滲透測試

在黑盒子(zi)滲透測(ce)試中,測(ce)試人員(yuan)(yuan)沒有(you)提供關(guan)于他/她(ta)將(jiang)要測(ce)試的應用程(cheng)(cheng)序的許(xu)多信(xin)(xin)息,測(ce)試人員(yuan)(yuan)有(you)責(ze)任收集有(you)關(guan)目標網絡,系統或(huo)應用程(cheng)(cheng)序的信(xin)(xin)息。

在(zai)白盒滲透測試中,測試人員將(jiang)獲得有關網絡,系(xi)統(tong)或應(ying)用程(cheng)序的完整(zheng)信息(xi)以(yi)及源代碼(ma),操作系(xi)統(tong)詳細信息(xi)和其(qi)他所(suo)需(xu)信息(xi)。它可以(yi)被(bei)認為(wei)是模(mo)擬內部來源的攻擊(ji)。

在灰(hui)盒滲透測試(shi)中,測試(shi)人員將具有應用(yong)程序或系統的(de)部分知(zhi)識(shi)。因(yin)此,它可以(yi)被(bei)認為是外部黑客(ke)(ke)的(de)攻擊,黑客(ke)(ke)已(yi)經(jing)非法訪問組(zu)織的(de)網絡基(ji)礎設施文檔(dang)。

為您(nin)的(de)移(yi)動應用程序執(zhi)行(xing)滲(shen)透測試(shi)的(de)原因

通過猜測攻擊(ji)者的行為預防未來的攻擊(ji)

你(ni)(ni)不能確(que)定黑(hei)客可(ke)能會攻擊(ji)你(ni)(ni)的(de)移(yi)動(dong)應用程序(xu),后(hou)端系統,并(bing)(bing)(bing)狙擊(ji)你(ni)(ni)的(de)重要數據(ju)和(he)信(xin)息。但是你(ni)(ni)可(ke)以做的(de)是預測(ce)(ce)這種情況并(bing)(bing)(bing)避(bi)免(mian)相關風險。您只(zhi)能猜測(ce)(ce)黑(hei)客的(de)行(xing)為并(bing)(bing)(bing)發現代碼中的(de)缺陷和(he)漏洞,并(bing)(bing)(bing)在(zai)黑(hei)客利用它們時立即嘗試修復它們。因此,滲透測(ce)(ce)試是最(zui)需要的(de)安全測(ce)(ce)試。

在滲(shen)透測(ce)試中,測(ce)試人(ren)員將利(li)用(yong)Quixxi,Qark,IBM云應用(yong)安全和(he)Drozer等不同工具來測(ce)試應用(yong)程(cheng)序(xu)(xu),并了解(jie)可能穿(chuan)透應用(yong)程(cheng)序(xu)(xu)并訪問(wen)信息和(he)重要(yao)數據的攻(gong)擊者的行為。

根據著名的安全專家(jia)Bruce Schneider的說法,測(ce)試(shi)(shi)人員會(hui)嘗試(shi)(shi)打入(ru)應用程序,以顯示(shi)他們(men)可以或可以記錄(lu)漏洞。在執行滲透測(ce)試(shi)(shi)時,測(ce)試(shi)(shi)人員將(jiang)模擬遠程攻擊和數據中心的物理(li)滲透。或社會(hui)工程攻擊。

在您的應(ying)用中顯示(shi)嚴重漏洞

就像(xiang)漏(lou)洞評估一樣,滲透測試(shi)揭示了應(ying)用(yong)程序中(zhong)的關鍵(jian)漏(lou)洞,并提供(gong)了有關加強安全性的建議(yi)。使用(yong)滲透測試(shi),測試(shi)人(ren)員將掃描操(cao)作系統(tong),網絡設備和應(ying)用(yong)程序以(yi)識別已知和未知漏(lou)洞,并提供(gong)詳細報告,其中(zhong)包含漏(lou)洞及其關鍵(jian)性的完整列(lie)表(biao)。

Cyber-Crime CSO Online的高級經(jing)理Tony Martin-Vegue表示:“運行掃描(miao)并(bing)說(shuo)”你(ni)很(hen)容易受到(dao)Heartbleed的攻(gong)擊“,這是一個(ge)完(wan)全不同的事情,可以利用這個(ge)bug并(bing)發現深度問(wen)題,并(bing)找出究竟(jing)哪種類型的信息可能被揭露,如果它被利用。這是主要(yao)的區別 - 網站或服務正在被滲(shen)透,就像(xiang)黑客會做的一樣。“

但是,執行(xing)移動(dong)應(ying)用(yong)程序安全測試的(de)主要原因(yin)是,它(ta)將比(bi)漏(lou)(lou)洞(dong)評估更早(zao)一步,并根據找到的(de)不同(tong)漏(lou)(lou)洞(dong)采取行(xing)動(dong)。它(ta)主要確定不同(tong)的(de)方法來利(li)用(yong)已(yi)識別的(de)漏(lou)(lou)洞(dong)發現針(zhen)對具有用(yong)戶(hu)數據的(de)公(gong)司移動(dong)應(ying)用(yong)程序的(de)攻擊。簡而(er)言(yan)之(zhi),滲透(tou)測試可(ke)讓您(nin)了解您(nin)的(de)移動(dong)應(ying)用(yong)程序的(de)漏(lou)(lou)洞(dong)在多大程度上可(ke)被黑客利(li)用(yong)。

結束

滲透測(ce)(ce)試(shi)(shi)(shi)是移動(dong)應用程序發現可能被黑客利用的(de)(de)(de)漏洞和漏洞的(de)(de)(de)最佳(jia)安全測(ce)(ce)試(shi)(shi)(shi)之一。這(zhe)些安全測(ce)(ce)試(shi)(shi)(shi)對于這(zhe)些日子來說是必不可少的(de)(de)(de),因為安全漏洞已經引發了全國性的(de)(de)(de)新聞報(bao)道,像(xiang)Home Depot這(zhe)樣的(de)(de)(de)許多(duo)黑客公司正在支付巨額和解金額。

因此(ci),您(nin)必(bi)須對(dui)您(nin)開發(fa)的每個(ge)移(yi)(yi)動應用(yong)程(cheng)序進行(xing)滲透(tou)測試(shi),或者確保您(nin)通過移(yi)(yi)動應用(yong)程(cheng)序開發(fa)代理(li)機構開發(fa)您(nin)的應用(yong)程(cheng)序來執行(xing)滲透(tou)測試(shi)。


推薦新(xin)聞